IEEE 802.11i: 무선 네트워크 보안의 핵심 표준화

IEEE 802.11i: 무선 네트워크 보안의 핵심 표준화

• 배경 및 필요성
• IEEE 802.11i의 주요 구성요소
  • 1. RSN (Robust Security Network)
  • 2. TKIP (Temporal Key Integrity Protocol)
  • 3. CCMP (Counter Mode with CBC-MAC Protocol)
  • 4. 키 관리 및 인증 프레임워크
    • 4-Way Handshake
    • EAP (Extensible Authentication Protocol)
• IEEE 802.11i 구현: WPA/WPA2
  • WPA (Wi-Fi Protected Access)
  • WPA2
  • WPA3
• 실제 구현 사례
  • 엔터프라이즈 환경 구현
  • 가정/소규모 사무실 구현
• IEEE 802.11i의 보안 평가
  • 강점
  • 한계점
• 802.11i 이후의 발전
• 결론
• Keywords

IEEE 802.11i는 무선 네트워크 통신에서 보안을 강화하기 위해 IEEE에서 개발한 표준으로, 2004년 6월에 최종 승인되었다. 기존 WEP(Wired Equivalent Privacy)의 심각한 보안 취약점을 해결하고, 엔터프라이즈 환경에서도 사용 가능한 강력한 보안 메커니즘을 제공한다.

배경 및 필요성

• WEP 프로토콜의 심각한 취약점 노출로 무선 네트워크의 보안 표준 재정립 필요성 대두
• 24비트 IV(Initialization Vector)의 한계와 정적 키 사용으로 인한 키 재사용 문제
• RC4 알고리즘의 약점과 키 스트림 재사용 취약점
• 인증 메커니즘의 취약성과 무결성 검증의 불완전성

IEEE 802.11i의 주요 구성요소

1. RSN (Robust Security Network)

RSN은 802.11i의 핵심 아키텍처로, 보안 연결 설정을 위한 프레임워크를 제공한다.

graph TD
    A[RSN 설정] --> B[RSN 협상]
    B --> C[4-Way Handshake]
    C --> D[그룹 키 핸드셰이크]
    D --> E[보안 데이터 교환]

• 안전한 통신을 위한 프레임워크 제공
• 상호 인증과 키 관리 메커니즘 포함
• 데이터 기밀성, 무결성, 출처 인증 지원

2. TKIP (Temporal Key Integrity Protocol)

TKIP은 WEP 호환 하드웨어에서도 동작할 수 있도록 설계된 과도기적 프로토콜이다.

• 패킷별 키 생성으로 키 재사용 문제 해결
• 48비트 IV 사용으로 IV 충돌 가능성 감소
• MIC(Message Integrity Check)를 통한 패킷 무결성 향상
• 키 혼합 기능으로 약한 키 방지
• RC4 암호화의 취약점을 보완하는 추가 메커니즘 구현

실제 TKIP 작동 순서:

1. 송신자와 수신자 간 임시 키(TK) 공유
2. 시퀀스 카운터와 송신자 MAC 주소를 이용해 패킷별 키 생성
3. MIC 계산 및 추가
4. 패킷 전송 및 수신자의 검증

3. CCMP (Counter Mode with CBC-MAC Protocol)

CCMP는 802.11i의 장기적 보안 솔루션으로, AES 암호화를 기반으로 한다.

flowchart LR
    A[평문 데이터] --> B[AES-CCM]
    B --> C[암호화된 데이터]
    C --> D[전송]
    D --> E[수신]
    E --> F[AES-CCM 복호화]
    F --> G[복원된 평문]

• AES(Advanced Encryption Standard) 기반의 강력한 암호화
• 128비트 블록 암호화 사용
• CCM 모드로 암호화와 인증 동시 제공
• CBC-MAC을 통한 메시지 인증 코드 생성
• 카운터 모드로 데이터 암호화 수행
• 재전송 공격 방지를 위한 패킷 번호 사용

4. 키 관리 및 인증 프레임워크

802.11i는 강력한 키 관리 시스템과 인증 프레임워크를 제공한다.

4-Way Handshake

sequenceDiagram
    participant A as 인증자(AP)
    participant S as 요청자(단말)
    A->>S: ANonce
    S->>A: SNonce, MIC
    A->>S: GTK, MIC
    S->>A: 확인

• PMK(Pairwise Master Key) 기반 세션 키 생성
• PTK(Pairwise Transient Key) 파생 및 검증
• GTK(Group Temporal Key) 안전한 배포
• 키 계층 구조를 통한 체계적 키 관리

EAP (Extensible Authentication Protocol)

• 다양한 인증 방법 지원 프레임워크
• IEEE 802.1X 기반의 접근 제어
• RADIUS 서버 연동을 통한 중앙화된 인증
• EAP-TLS, EAP-TTLS, PEAP 등 다양한 방식 지원

IEEE 802.11i 구현: WPA/WPA2

802.11i 표준은 실제로 WPA(Wi-Fi Protected Access)와 WPA2로 구현되었다.

WPA (Wi-Fi Protected Access)

• 802.11i 초안 기반으로 Wi-Fi Alliance에서 개발
• TKIP 사용으로 기존 하드웨어에서도 동작
• 개인 모드(WPA-PSK)와 기업 모드(WPA-Enterprise) 지원
• 과도기적 보안 솔루션으로 설계

WPA2

• 완전한 802.11i 표준 구현
• CCMP/AES 암호화 의무화
• 더 강력한 보안 제공
• 2006년부터 모든 Wi-Fi 인증 장치에 의무화

WPA3

WPA2 이후 등장한 차세대 표준으로, 802.11i의 확장이다.

• SAE(Simultaneous Authentication of Equals) 핸드셰이크 도입
• 192비트 보안 스위트 옵션 제공
• OWE(Opportunistic Wireless Encryption) 지원
• 공개 네트워크에서도 암호화 제공

실제 구현 사례

엔터프라이즈 환경 구현

대규모 기업 네트워크에서의 802.11i 구현:

1. 중앙 RADIUS 서버 설치 및 구성
2. 802.1X 인증을 위한 EAP-TLS 설정
3. 디지털 인증서 기반 상호 인증 구현
4. 네트워크 접근 제어 정책 수립
5. 주기적 키 갱신 메커니즘 설정

가정/소규모 사무실 구현

소규모 환경에서의 간소화된 구현:

1. WPA2-PSK 모드 사용
2. 강력한 사전 공유 키(PSK) 설정
3. 최소 12자 이상의 복잡한 암호 사용
4. 주기적 암호 변경 정책 수립
5. 게스트 네트워크와 분리된 운영

IEEE 802.11i의 보안 평가

강점

• WEP 대비 획기적으로 향상된 보안성
• 엔터프라이즈급 인증 메커니즘 제공
• 강력한 암호화 알고리즘 사용
• 키 관리의 체계화 및 자동화
• 확장성과 호환성 고려

한계점

• 초기 구현 복잡성
• 레거시 장비와의 호환성 문제
• 일부 구현에서의 성능 저하 가능성
• PSK 모드에서 사전 공격 취약성
• KRACK(Key Reinstallation Attacks) 등 새로운 공격 가능성

802.11i 이후의 발전

IEEE 802.11i는 무선 네트워크 보안의 기반을 마련했으며, 이후 다양한 보안 개선이 이루어졌다.

• 802.11w: 관리 프레임 보호 표준
• 802.11ac/ax: 고속 무선 통신과 보안 통합
• WPA3: 추가적인 보안 강화 메커니즘 도입
• PMF(Protected Management Frames) 의무화
• OWE(Opportunistic Wireless Encryption) 도입

결론

IEEE 802.11i는 무선 네트워크 보안의 획기적 전환점으로, WEP의 심각한 취약점을 해결하고 강력한 보안 프레임워크를 제공했다. TKIP와 CCMP를 통한 암호화, 802.1X 기반 인증, 체계적 키 관리 시스템의 도입으로 무선 네트워크의 신뢰성을 크게 향상시켰다.

현대 무선 네트워크의 보안 기반을 형성한 802.11i는 WPA2/WPA3로 구현되어 전 세계 무선 네트워크에 적용되고 있으며, 계속해서 발전하는 보안 요구사항에 맞춰 확장되고 있다. 무선 네트워크 보안 계획 시 802.11i 표준의 핵심 원칙을 이해하고 적용하는 것이 중요하다.

Keywords

IEEE 802.11i, WLAN 보안, RSN(Robust Security Network), TKIP(Temporal Key Integrity Protocol), CCMP(Counter Mode CBC-MAC Protocol), 4-Way Handshake, WPA2, 무선 인증, 키 관리, 802.1X